微軟揭兩個 npm 套件遭植入竊幣惡意程式　利用 Hugging Face 外傳資料

微軟威脅情報團隊披露，一宗針對開發者的惡意軟件行動透過遭入侵的 npm 套件散播，暗中竊取加密貨幣錢包相關憑證及多類敏感資料，凸顯軟件供應鏈風險升溫。 微軟表示，受影響的套件為 utilsterminal@3.2.1 及 loggeractive@3.2.1。兩者表面上屬正常工具，實際內含遙控木馬（RAT），可擷取鍵盤輸入、截圖、登入憑證，以及與加密資產相關的資料。由於 npm 為全球最大軟件登錄庫之一，一旦依賴套件被污染，可能在開發者不知情下被廣泛安裝。 是次事件對加密貨幣用戶及區塊鏈開發者尤其具風險。開發電腦常存放瀏覽器錢包、API 憑證、雲端存取權杖，以及與數碼資產項目相連的原始碼庫。攻擊者一旦取得相關資料，或可進一步入侵錢包、開發基建，甚至影響自動化交易系統。 微軟指出，惡意程式把 Hugging Face 的儲存庫用作資料外傳通道，將盜取的資訊經由受信任的人工智能平台傳送，降低觸發安全監控的機會。整體手法反映黑客正由直接攻擊個別受害者，轉向入侵常用開發工具與第三方依賴，藉此放大潛在受害面。 近期香港外，研究人員亦曾在 npm、PyPI 及 Rust 生態發現惡意套件，目標包括錢包憑證、SSH 金鑰及雲端存取憑證。相關攻擊多屬端點與帳戶資料盜取，並不代表區塊鏈網絡本身的加密機制出現弱點。 微軟建議開發者檢視已安裝套件、移除可疑依賴，並為可能外洩的憑證進行輪換，同時監察錢包是否出現未授權交易。安全專家亦提醒，助記詞應離線保存，安裝前須審慎核實軟件來源及第三方依賴。